已创建或修改 Google Workspace 自定义 Gmail 路由
编辑已创建或修改 Google Workspace 自定义 Gmail 路由编辑
检测到在 Google Workspace 中添加或修改了自定义 Gmail 路由时。攻击者可以为出站邮件添加自定义电子邮件路由,以将这些电子邮件路由到他们自己选择的收件箱以收集数据。这使得攻击者能够从电子邮件和潜在附件(例如发票或付款文件)中捕获敏感信息。默认情况下,拥有帐户的当前 Google Workspace 用户的所有电子邮件都通过域的邮件服务器路由,用于处理入站和出站邮件。
规则类型:查询
规则索引:
- filebeat-*
- logs-google_workspace*
严重程度:中等
风险评分: 47
运行间隔:10 分钟
搜索的索引范围:now-130m(日期数学格式,另请参阅其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:云
- 数据源:Google Workspace
- 战术:收集
- 资源:调查指南
版本: 106
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南编辑
分类和分析
调查已创建或修改的 Google Workspace 自定义 Gmail 路由
Gmail 是由 Google 开发和管理的流行的基于云的电子邮件服务。Gmail 是 Google Workspace 帐户用户可用的众多服务之一。
威胁行为者经常发送包含恶意 URL 链接或附件的网络钓鱼电子邮件到公司 Gmail 帐户。Google Workspace 身份依赖于公司用户 Gmail 帐户,如果被盗,则允许威胁行为者从有效用户帐户进一步进行入侵尝试。
此规则标识管理员从 Google Workspace 管理控制台创建自定义全局 Gmail 路由。自定义电子邮件路由可能表示尝试将敏感电子邮件秘密转发给非预期收件人。
可能的调查步骤
- 识别创建自定义电子邮件路由的用户帐户,并验证他们是否应具有管理权限。
- 查看自定义电子邮件路由中添加的收件人以及潜在电子邮件内容的机密性。
- 识别用户帐户,然后查看过去 48 小时内
event.action值的相关活动。 - 如果 Google Workspace 许可证是 Enterprise Plus 或 Education Plus,请搜索与路由过滤器匹配的电子邮件。要查找 Gmail 事件日志,请转到
报告 > 审核和调查 > Gmail 日志事件。 - 如果已发送现有电子邮件并且与自定义路由条件匹配,请检查发件人和内容中是否存在恶意 URL 链接和附件。
- 可以将已识别的 URL 或附件提交到 VirusTotal 以获取信誉服务。
误报分析
- 此规则搜索在 Google Workspace 管理控制台中创建的域范围自定义电子邮件路由。管理员可能会创建自定义电子邮件路由以满足组织要求。
响应和修复
- 根据分类结果启动事件响应流程。
- 在调查和响应期间禁用或限制帐户。
- 确定事件的可能影响并确定优先级;以下操作可以帮助您了解上下文
- 识别云环境中的帐户角色。
- 评估受影响服务和服务器的关键程度。
- 与您的 IT 团队合作,识别并最大程度地减少对用户的影响。
- 确定攻击者是否正在横向移动并攻击其他帐户、服务器或服务。
- 确定与该活动相关的任何监管或法律后果。
- 调查攻击者入侵或使用的系统上的凭据泄露,以确保识别所有受损帐户。根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。在执行这些操作期间,与您的 IT 团队合作,最大程度地减少对业务运营的影响。
- 查看分配给相关用户的权限,以确保遵循最小权限原则。
- 实施 Google 概述 的安全最佳实践。
- 确定攻击者滥用的初始攻击途径,并采取措施防止通过相同途径再次感染。
- 使用事件响应数据更新日志记录和审核策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
关于 Google Workspace 事件延迟时间的重要信息
- 根据 Google 的文档,Google Workspace 管理员可能会观察到事件发生时间与 Google Workspace 管理/审核日志中可见事件之间存在从几分钟到 3 天不等的延迟。
- 此规则配置为每 10 分钟运行一次,回溯时间为 130 分钟。
- 为了降低漏报的风险,请考虑缩短 Google Workspace(以前称为 G Suite)Filebeat 模块轮询 Google 报告 API 以获取新事件的时间间隔。
- 默认情况下,
var.interval设置为 2 小时 (2h)。考虑将此间隔更改为较低的值,例如 10 分钟 (10m)。 - 有关更多信息,请参阅以下参考资料
- https://support.google.com/a/answer/7061566
- https://elastic.ac.cn/guide/en/beats/filebeat/current/filebeat-module-google_workspace.html
设置编辑
需要 Google Workspace Fleet 集成、Filebeat 模块或类似结构化数据才能与此规则兼容。
规则查询编辑
event.dataset:"google_workspace.admin" and event.action:("CREATE_GMAIL_SETTING" or "CHANGE_GMAIL_SETTING")
and google_workspace.event.type:"EMAIL_SETTINGS" and google_workspace.admin.setting.name:("EMAIL_ROUTE" or "MESSAGE_SECURITY_RULE")
框架:MITRE ATT&CKTM
-
战术
- 名称:收集
- ID:TA0009
- 参考 URL:https://attack.mitre.org/tactics/TA0009/
-
技术
- 名称:电子邮件收集
- ID:T1114
- 参考 URL:https://attack.mitre.org/techniques/T1114/
-
子技术
- 名称:电子邮件转发规则
- ID:T1114.003
- 参考 URL:https://attack.mitre.org/techniques/T1114/003/